Suspense: The X-Ray Camera / Subway / Dream Song
Sommario:
Windows 10 Creators I miglioramenti della sicurezza per l`aggiornamento includono miglioramenti di Windows Defender Advanced Threat Protection. Questi miglioramenti terrebbero gli utenti protetti da minacce come i Trojan Kovter e Dridex, afferma Microsoft. Esplicitamente, l`ATP di Windows Defender può rilevare tecniche di iniezione di codice associate a queste minacce, come Process Hollowing e Atom Bombing . Già utilizzati da numerose altre minacce, questi metodi consentono al malware di infettare i computer e intraprendere varie attività spregevoli rimanendo invisibili.
Process Hollowing
Il processo di generazione di una nuova istanza di un processo legittimo e "svuotamento" è noto come Process Hollowing. Questa è fondamentalmente una tecnica di iniezione di codice in cui il codice legittimo viene sostituito con quello del malware. Altre tecniche di iniezione aggiungono semplicemente una funzionalità dannosa al processo legittimo, risultati vuoti in un processo apparentemente legittimo ma principalmente malevolo.
Process Hollowing utilizzato da Kovter
Gli indirizzi Microsoft elaborano lo svuotamento come uno dei maggiori problemi, è usato da Kovter e varie altre famiglie di malware. Questa tecnica è stata utilizzata da famiglie di malware in attacchi senza file, in cui il malware lascia impronte trascurabili su disco e memorizza ed esegue codice solo dalla memoria del computer.
Kovter, una famiglia di Trojan click-fraud che sono stati di recente osservato per associarsi a famiglie di ransomware come Locky. l`anno scorso, a novembre, Kovter è stato ritenuto responsabile di un massiccio aumento delle nuove varianti di malware.
Kovter viene fornito principalmente tramite e-mail di phishing, nasconde la maggior parte dei suoi componenti maligni tramite le chiavi di registro. Quindi Kovter utilizza applicazioni native per eseguire il codice ed eseguire l`iniezione. Ottiene la persistenza aggiungendo scorciatoie (file.lnk) alla cartella di avvio o aggiungendo nuove chiavi al registro.
Due voci di registro vengono aggiunte dal malware per avere il suo file componente aperto dal programma legittimo mshta.exe. Il componente estrae un carico utile offuscato da una terza chiave di registro. Uno script PowerShell viene utilizzato per eseguire uno script aggiuntivo che inietta lo shellcode in un processo di destinazione. Kovter utilizza l`elaborazione dei processi per iniettare codice dannoso in processi legittimi attraverso questo codice shell.
Atom Bombing
Atom Bombing è un`altra tecnica di iniezione di codice che Microsoft dichiara di bloccare. Questa tecnica si basa sul malware che memorizza il codice dannoso all`interno delle tabelle atom. Queste tabelle sono tabelle di memoria condivise in cui tutte le applicazioni memorizzano le informazioni su stringhe, oggetti e altri tipi di dati che richiedono l`accesso giornaliero. Atom Bombing utilizza le chiamate asincrone di procedura (APC) per recuperare il codice e inserirlo nella memoria del processo di destinazione.
Dridex un early adopter del bombardamento atomico
Dridex è un trojan bancario scoperto per la prima volta nel 2014 e è stato uno dei primi adottanti del bombardamento atomico.
Dridex è principalmente distribuito tramite e-mail di spam, è stato progettato principalmente per rubare credenziali bancarie e informazioni sensibili. Disabilita anche i prodotti di sicurezza e fornisce agli aggressori l`accesso remoto ai computer delle vittime. La minaccia rimane surrettiziata e ostinata evitando le comuni chiamate API associate alle tecniche di iniezione del codice.
Quando Dridex viene eseguito sul computer della vittima, cerca un processo di destinazione e assicura che user32.dll venga caricato da questo processo. Questo perché ha bisogno della DLL per accedere alle funzioni della tabella atom richiesta. Di seguito, il malware scrive il suo shellcode sulla tabella atom globale, inoltre aggiunge NtQueueApcThread chiamate per GlobalGetAtomNameW alla coda APC del thread del processo di destinazione per costringerlo a copiare il codice dannoso in memoria.
John Lundgren, il team di ricerca ATP di Windows Defender, afferma
"Kovter e Dridex sono esempi di importanti famiglie di malware che si sono evoluti per eludere il rilevamento utilizzando tecniche di iniezione di codice. Inevitabilmente, il processing hollowing, il bombardamento atomico e altre tecniche avanzate saranno utilizzate da famiglie di malware esistenti e nuovi ", aggiunge" Windows Defender ATP fornisce inoltre scadenze dettagliate degli eventi e altre informazioni contestuali che i team SecOps possono utilizzare per comprendere gli attacchi e rispondere rapidamente. La funzionalità migliorata di Windows Defender ATP consente loro di isolare la macchina vittima e proteggere il resto della rete. "
Microsoft è finalmente visto affrontare i problemi di iniezione del codice, spero di vedere finalmente l`azienda che aggiunge questi sviluppi alla versione gratuita di Windows Defender.
Abilita, disabilita Protezione esecuzione programmi Protezione esecuzione programmi in Windows
Scopri come disabilitare Data Execution Prevention o DEP in Windows 10 / 8/7, Vista utilizzando bcdedit.exe. Sebbene sconsigliato, è possibile disabilitare DEP.
Protezione del gioco: Protezione con password Giochi in Windows
Leggi la recensione e scarica Game Protector gratis e proteggi i tuoi giochi in Windows 10/8/7. Game Protector nasconde e protegge i giochi con password.
Miglioramenti della protezione e della protezione dell`identità in Windows 10
Windows 10 migliora la sicurezza. Offre protezione dell`identità e controllo degli accessi, resistenza alle minacce, prevenzione della perdita di dati, funzionalità di blocco, ecc.